Как защитить приложения React на стороне клиента с помощью защищенных маршрутов, используя память приложений!?

TL;DR
Если вы хотите сразу перейти к реализации, просто пропустите введение в начале и перейдите к разделу решений.

Мы используем серверную часть Node.js и переднюю часть React.js, файлы cookie, React-Router-Dom V6 и Axios.

Введение:

Если вы опытный Front-End разработчик или даже младший разработчик, вы должны были уже бороться с некоторыми веб-приложениями с множеством защищенных маршрутов, которые пользователи должны авторизоваться, чтобы получить доступ к приложению, и такие приложения очень распространены в наши дни, особенно панели мониторинга со строгой аутентификацией за ними.

Поскольку я много боролся с тем, как защитить приложение React.js CSR (рендеринг на стороне клиента) и не использовать LocalStorage или файлы cookie для хранения высококонфиденциальной информации, такой как токены доступа, данные пользователя или что-либо, связанное с ними, из-за меньше безопасности у LS или файлов cookie, в то время как они могут быть атакованы посторонним с использованием кода javascript из внешних источников, таких как наиболее известные XSS (межсайтовый скриптинг) или CSRF (межсайтовый запрос-подделка). Настоятельно рекомендуется используйте память ваших Javascripts (например, Redux) для внутреннего хранения этих высококонфиденциальных данных, чтобы предотвратить такие методы взлома для доступа к этой информации, но у этого есть большой недостаток.

Проблема:

Если вы храните всю информацию, связанную с аутентификацией пользователя, в памяти ваших веб-приложений, то при каждом жестком обновлении браузера, смене вкладок, переходе назад и вперед с помощью кнопок, управляемых браузером, и т. д., все они будут стерты и удалены. у вас нет токена доступа или любых других данных, поэтому ваши пользователи должны снова войти в ваше приложение, и этот цикл будет продолжаться и продолжаться.

Это сильно повлияет на опыт ваших пользователей во время их использования, и они не будут довольны этим!

Решение:

После долгих исследований я нашел правильное решение для них. Я пришел к идее по-прежнему хранить все конфиденциальные данные в памяти приложений, но найти способ обойти исключения, такие как жесткое обновление или любое другое действие. это может привести к удалению состояния приложений.

Жетоны обновления — это то, что вам нужно!

Я создал приведенную выше архитектуру для примера приложения React.js для рендеринга на стороне клиента, которое имеет центральное хранилище, такое как Redux.

Как вы можете видеть, у нас есть сервер, который каждый раз, когда мы входим в систему, мы отправляем HTTP-запрос к нашему серверному приложению, чтобы проверить и получить все эти конфиденциальные данные, такие как токен доступа и данные пользователя.

Если мы запросим вход в систему, мы вернем наш токен и токен обновления, важная часть здесь: сервер должен установить HTTP-только и безопасный файл cookie для нашего браузера, содержащий данные токена обновления.

С другой стороны, как только мы вошли в систему, мы сохраняем все данные, такие как токен и информацию о пользователе, внутри нашего внутреннего состояния приложения, и теперь у нас есть безопасный файл cookie только для HTTP в наших файлах cookie.

Нам нужно создать оболочку для всех наших защищенных маршрутов на верхнем уровне нашего приложения, когда мы определяем наши маршруты с помощью этого компонента-оболочки, который запрашивает токен обновления, когда наше приложение не имеет аутентификации в своей памяти, что произойдет только один раз, когда приложение монтируется на DOM.

Прежде всего, мы создаем наш хук useRefreshToken следующим образом:

Затем мы создадим нашу оболочку, о которой я упоминал ранее, чтобы следить за аутентификацией:

И, наконец, это все, теперь вы можете сохранять данные вашего пользователя и токен доступа в памяти ваших приложений, не беспокоя ваших пользователей о входе в систему каждый раз, когда память приложения стирается, и вы также защитили свои особо конфиденциальные данные от хакеров, которые могут захотеть чтобы повредить ваше приложение!

Примечание 1. Не забывайте, что ваш сервер должен вернуть вам новый токен доступа и все важные данные, необходимые для вашего приложения, с помощью токена обновления так же, как и при входе в систему.

Примечание 2.Если у вас очень конфиденциальное приложение, такое как веб-приложение банка или что-то подобное, требующее еще одного уровня безопасности, вы можете по-прежнему использовать память, но заставлять людей входить в систему после любое необычное поведение, такое как жесткое обновление или нажатие кнопок «назад» и «вперед», потому что для этих вариантов использования требуется другой уровень безопасности, и вы не хотите рисковать новым входом/выходом из системы для лучшего взаимодействия с пользователем в банковских приложениях!

смотрите также:

Новые материалы

Как проанализировать работу вашего классификатора?

Не всегда просто знать, какие показатели использовать С развитием глубокого обучения все больше и больше людей учатся обучать свой первый классификатор. Но как только вы закончите..

Работа с цепями Маркова, часть 4 (Машинное обучение)

Нелинейные цепи Маркова с агрегатором и их приложения (arXiv) Автор : Бар Лайт Аннотация: Изучаются свойства подкласса случайных процессов, называемых дискретными нелинейными цепями Маркова..

Crazy Laravel Livewire упростил мне создание электронной коммерции (панель администратора и API) [Часть 3]

Как вы сегодня, ребята? В этой части мы создадим CRUD для данных о продукте. Думаю, в этой части я не буду слишком много делиться теорией, но чаще буду делиться своим кодом. Потому что..

Использование машинного обучения и Python для классификации 1000 сезонов новичков MLB Hitter

Чему может научиться машина, глядя на сезоны новичков 1000 игроков MLB? Это то, что исследует это приложение. В этом процессе мы будем использовать неконтролируемое обучение, чтобы..

Учебные заметки: создание моего первого пакета Node.js

Это мои обучающие заметки, когда я научился создавать свой самый первый пакет Node.js, распространяемый через npm. Оглавление Глоссарий I. Новый пакет 1.1 советы по инициализации..

Забудьте о Matplotlib: улучшите визуализацию данных с помощью умопомрачительных функций Seaborn!

Примечание. Эта запись в блоге предполагает базовое знакомство с Python и концепциями анализа данных. Привет, энтузиасты данных! Добро пожаловать в мой блог, где я расскажу о невероятных..

ИИ в аэрокосмической отрасли

Каждый полет – это шаг вперед к великой мечте. Чтобы это происходило в их собственном темпе, необходима команда астронавтов для погони за космосом и команда технического обслуживания..

Метки

Machine Learning JavaScript Data Science Artificial Intelligence Software Development Python Web Development Coding Deep Learning AI React Software Engineering Nodejs Java Front End Development Typescript Computer Science Data Algorithms Development NLP Tech Programming Languages CSS ChatGPT HTML Python Programming Javascript Tips Angular Computer Vision Data Visualization Neural Networks Startup Tutorial Statistics Productivity Reactjs Learning